SUR CETTE PAGE
Comprendre les stratégies unifiées sur les équipements de sécurité
Comprendre comment les stratégies unifiées utilisent les informations AppID
Activation ou désactivation du cache système d’application pour les services applicatifs
Identification des applications Prise en charge des micro-applications
Activation et désactivation de la détection des micro-applications
Identification des applications Prise en charge des stratégies unifiées
Comprendre les stratégies unifiées sur les équipements de sécurité
Avec la popularité croissante des applications Web, et en raison du passage des applications traditionnelles entièrement basées sur le client au Web, de plus en plus de trafic est transmis sur HTTP. Les applications telles que la messagerie instantanée, le partage de fichiers de pair à pair, la messagerie Web, les réseaux sociaux et la collaboration vocale et vidéo sur IP contournent les mécanismes de sécurité en modifiant les ports et les protocoles de communication. La gestion des changements de comportement de l’application nécessite une modification constante des règles de sécurité, et le maintien des règles de la stratégie de sécurité pose un défi majeur. Pour gérer ces changements de comportement des applications, vous avez besoin de stratégies de sécurité pour gérer les applications dynamiques.
Pour répondre à ce défi, à partir de la version 18.2R1 de Junos OS, les pare-feu SRX Series et le pare-feu virtuel vSRX de Juniper Networks prennent en charge des politiques unifiées, ce qui permet un contrôle granulaire et une application des applications dynamiques de couche 7 dans le cadre de la politique de sécurité. Les stratégies unifiées sont des stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques dans le cadre des conditions de correspondance existantes à 5 ou 6 uplets (5 uplets avec pare-feu utilisateur) afin de détecter les modifications apportées à l’application au fil du temps.
Une stratégie unifiée exploite les informations d’identité de l’application déterminées à partir du module d’identification de l’application (AppID). Une fois qu’une application particulière est identifiée, une action telle qu’autoriser, refuser, rejeter ou rediriger est appliquée au trafic en fonction de la stratégie configurée sur l’appareil.
Tout trafic refusé ou rejeté par la stratégie de sécurité basée sur des critères de couche 3 ou 4 est immédiatement abandonné. Le trafic autorisé par la stratégie de sécurité est évalué plus en détail au niveau de la couche 7 en fonction de ses informations AppID.
AppID est activé lorsque vous configurez une stratégie de sécurité avec des applications dynamiques ou lorsque vous activez des services tels que le routage basé sur des stratégies d’application (APBR), le suivi des applications (Apptrack), la qualité de service des applications (AppQoS), le pare-feu d’application (AppFW), l’IDP ou Juniper ATP Cloud dans la stratégie de sécurité.
Avantages
Simplifie la gestion des politiques de sécurité basée sur les applications au niveau de la couche 7.
Permet à votre appareil de s’adapter aux changements dynamiques du trafic sur le réseau.
Offre un meilleur contrôle et une plus grande extensibilité pour gérer le trafic des applications dynamiques qu’une stratégie de sécurité traditionnelle.
Comprendre comment les stratégies unifiées utilisent les informations AppID
Une classification précise du trafic est essentielle pour la sécurité du réseau dans les architectures de cloud et de datacenter. L’identification et la classification des différents types de trafic applicatif (transactions sur HTTP) constituent également un défi, car les applications Web comprennent des documents, des données, des images et des fichiers audio et vidéo.
AppID détecte les applications présentes sur votre réseau, quels que soient le port, le protocole, le chiffrement (TLS/SSL ou SSH) ou toute autre tactique d’évasion utilisée. Il utilise des techniques d’inspection approfondie des paquets (DPI), une base de données de signatures ainsi que des adresses et des ports bien connus pour identifier les applications. AppID fournit des informations telles que la classification dynamique des applications, le protocole par défaut et le port d’une application. Pour toute application incluse dans la liste dépendante d’une autre application, AppID fournit les informations de l’application dépendante.
Une stratégie unifiée exploite les informations de l’AppID pour qu’elles correspondent à l’application et prennent les mesures spécifiées dans la stratégie. Dans une configuration de stratégie unifiée, vous pouvez utiliser une application dynamique prédéfinie (à partir du package de signatures d’identification de l’application) ou une application personnalisée définie par l’utilisateur comme condition de correspondance.
- Comprendre l’identification dynamique des applications dépendantes
- États dynamiques de classification des applications
- Configuration de la limite de transactions pour l’identification de l’application
- Prise en charge de la haute disponibilité pour l’identification des applications afin d’unifier les politiques
Comprendre l’identification dynamique des applications dépendantes
La liste des applications dépendantes inclut les applications sur lesquelles une application dynamique peut être identifiée. Par exemple, la liste des applications dépendantes de Facebook comprend HTTP2 et SSL.
Le protocole et le port par défaut d’une application dynamique incluent le protocole et le port définis pour cette application. Si le protocole et le port de cette application ne sont pas définis, la liste des protocoles et ports par défaut de ses applications dépendantes est prise en compte.
Par exemple, l’application Facebook-Access dépend d’applications telles que HTTP, SSL et HTTP2. Par conséquent, le protocole et les ports par défaut de ces applications dépendantes sont pris en compte pour l’application Facebook-Access.
La liste des applications dépendantes et le mappage des protocoles et ports d’une application peuvent changer pendant l’exécution chaque fois qu’un nouveau pack de signatures d’application est installé ou qu’une configuration d’application personnalisée est modifiée. AppID fournit ces détails à la stratégie de sécurité.
États dynamiques de classification des applications
Au cours du processus d’identification de l’application, DPI traite chaque paquet et le classe dans l’un des états suivants jusqu’à ce que l’application soit définitivement identifiée :
Pré-correspondance : avant qu’une application ne soit identifiée par le DPI.
Transaction final (Transaction final) : pour les applications dynamiques, une transaction est terminée, mais l’identification de l’application n’est pas définitive. Les applications de couche 7 peuvent changer à chaque transaction, car elles ont des applications dépendantes. Par exemple, les applications Facebook ont des applications dépendantes telles que HTTP, SSL, etc.
Correspondance finale : une application appariée sur la couche 7 est considérée comme la correspondance finale en fonction du nombre maximal de transactions configuré. C’est-à-dire que la correspondance n’est considérée comme finale qu’une fois que le nombre maximal de transactions est terminé.
Avant d’identifier l’application finale, il n’est pas possible de faire correspondre précisément la politique. Une liste de stratégies potentielles est mise à disposition et le trafic est autorisé à l’aide de la stratégie potentielle de la liste. Une fois l’application identifiée, la stratégie finale est appliquée à la session. Les actions de stratégie telles que l’autorisation, le refus, le rejet ou la redirection sont appliquées au trafic comme spécifié dans les règles de stratégie.
DPI peut changer l’application correspondante pendant la correspondance finale ; mais la politique respective reste la même. C’est la raison pour laquelle vous remarquerez peut-être que différentes applications mentionnées dans un syslog créent et ferment des sessions de la même stratégie.
La classification des applications n’est pas terminée pour les applications basées sur des transactions, telles que Facebook. Pour mettre fin à la classification de ces applications, vous pouvez choisir de considérer les résultats de plusieurs transactions comme classification finale.
Configuration de la limite de transactions pour l’identification de l’application
Vous pouvez configurer le nombre maximal de transactions avant de conclure les résultats finaux pour l’identification d’une application à l’aide de l’instruction set services application-identification maximum-transactions transactions-number . Lorsque vous configurez le nombre maximal de transactions, la DPI n’est pas terminée tant que le nombre de transactions configuré n’est pas terminé.
Exemple:
user@host# set services application-identification maximum-transactions 5
Vous pouvez configurer un numéro de transaction compris entre 0 et 25. Par défaut, cinq transactions sont prises en compte.
Si vous définissez le nombre de transactions sur 0, la transaction ne met pas fin à la DPI. Il se peut que la correspondance finale pour la demande ne soit pas disponible ; et la politique de sécurité finale n’est pas appliquée.
Le tableau 1 présente les différents états de la classification d’identification des applications lorsque la transaction maximale est définie sur cinq. Notez que les valeurs du tableau sont à titre indicatif et ne sont pas des valeurs réelles. La transaction exacte peut varier en fonction du modèle de trafic.
Scénario |
Application identifiée |
État d’identification de l’application |
Transactions |
|---|---|---|---|
Premier paquet de la session |
Aucun |
Avant-match |
0 |
Application intermédiaire |
SSL (en anglais) |
Avant-match |
1 |
Application intermédiaire identifiée dans la charge utile déchiffrée |
HTTP (en anglais) |
Avant-match |
2 |
Identification de l’application intermédiaire |
ACCÈS FACEBOOK |
Avant-match |
3 |
Identification de l’application intermédiaire |
CHAT FACEBOOK |
Transaction finale (transaction =1) |
4 |
Identification de la demande finale |
FACEBOOK-MAIL |
Match final (transaction = 2) |
4 |
Dans les stratégies unifiées, la configuration d’applications dynamiques pouvant être identifiées en fonction des informations de couche 3 ou 4 (à l’exception des applications basées sur ICMP) n’est pas prise en charge. Au lieu de cela, vous pouvez utiliser le groupe junos-defaults qui contient des valeurs prédéfinies pour les applications basées sur les couches 3 et 4.
Prise en charge de la haute disponibilité pour l’identification des applications afin d’unifier les politiques
Lorsqu’une application est identifiée, ses informations de classification sont enregistrées dans le cache du système de l’application (ASC).
Lorsque votre dispositif de sécurité (exemple : pare-feu SRX Series) fonctionne en mode cluster de châssis, les informations enregistrées dans l’ASC sont synchronisées entre le nœud principal et le nœud secondaire.
Dans le cas d’une classification dynamique des applications, les informations de classification des applications par session provenant de l’IPP sont synchronisées avec le nœud secondaire lorsque la classification des applications est définitive.
Lors d’un basculement, les informations de classification des applications sur le nœud secondaire se trouvent dans l’un des états suivants :
Application non identifiée
Identification de la demande finale
Après un basculement, les informations de classification des applications disponibles dans le nouveau nœud principal sont considérées comme la correspondance finale. Les mêmes informations sont synchronisées avec le nouveau nœud secondaire, car la classification ne se poursuit pas après un basculement. L’exemple du Tableau 2 Le Tableau 2 montre l’état de classification des applications dans une configuration de cluster de châssis.
État de l’identification de l’application |
nœud de cluster de châssis |
Avant le basculement |
Après le basculement |
Détails |
|---|---|---|---|---|
L’application finale est identifiée. Application identifiée : SSL :Facebook |
noeud principal |
Application identifiée : SSL :Facebook |
Application identifiée : SSL :Facebook |
Aucune modification après le basculement, car la classification complète des applications est synchronisée avec le nœud secondaire. |
noeud secondaire |
Application identifiée : SSL :Facebook |
Application identifiée : SSL :Facebook |
||
La demande finale n’est pas identifiée. (Une application partielle est identifiée.) Application identifiée : SSL |
noeud principal |
Application identifiée : SSL |
Application identifiée : APP-INVALID |
L’identification des applications ne poursuit pas après un basculement. |
noeud secondaire |
Application identifiée : non disponible |
Application identifiée : APP-INVALID |
||
La demande finale n’est pas identifiée. (Une application partielle est identifiée) |
noeud principal |
Application identifiée : non disponible |
Application identifiée : APP-INVALID |
Dans ce cas, un basculement s’est produit après la première inspection des paquets, et aucune application n’est identifiée. L’identification des applications ne poursuit pas après un basculement. |
noeud secondaire |
Application identifiée : non disponible |
Application identifiée : APP-INVALID |
Activation ou désactivation du cache système d’application pour les services applicatifs
À partir de Junos OS version 18.2R1, le comportement par défaut de l’ASC est modifié comme suit :
- Avant Junos OS version 18.2R1 : ASC est activé par défaut pour tous les services, y compris les services de sécurité.
-
À partir de la version 18.2R1 de Junos OS, ASC est activé par défaut. Notez la différence dans la recherche de services de sécurité :
-
La recherche ASC pour les services de sécurité n’est pas activée par défaut. En d’autres termes, les services de sécurité, y compris les politiques de sécurité, le pare-feu des applications (AppFW), le suivi des applications (AppTrack), la qualité de service des applications (AppQoS), Juniper ATP Cloud, l’IDP et la sécurité du contenu, n’utilisent pas l’ASC par défaut.
-
La recherche ASC pour les services divers est activée par défaut. En d’autres termes, divers services, notamment le routage avancé basé sur des stratégies (APBR), utilisent l’ASC pour identifier les applications par défaut.
-
La modification du comportement par défaut de l’ASC affecte la fonctionnalité AppFW héritée. L’ASC étant désactivé par défaut pour les services de sécurité à partir de la version 18.2 de Junos OS, AppFW n’utilisera pas les entrées présentes dans l’ASC.
Vous pouvez revenir au comportement ASC comme dans les versions de Junos OS antérieures à la version 18.2 à l’aide de la set services application-identification application-system-cache security-services commande.
L’équipement de sécurité peut devenir vulnérable aux techniques de contournement des applications si l’ASC est activé pour les services de sécurité. Nous vous recommandons d’activer l’ASC uniquement lorsque les performances de l’appareil dans sa configuration par défaut (désactivée pour les services de sécurité) ne sont pas suffisantes pour votre cas d’utilisation spécifique.
Utilisez les commandes suivantes pour activer ou désactiver l’ASC :
Activer l’ASC pour les services de sécurité :
user@host#set services application-identification application-system-cache security-servicesDésactiver l’ASC pour divers services :
user@host#set services application-identification application-system-cache no-miscellaneous-servicesDésactivez l’ASC activé pour les services de sécurité :
user@host#delete services application-identification application-system-cache security-servicesActiver l’ASC désactivé pour divers services :
user@host#delete services application-identification application-system-cache no-miscellaneous-services
Vous pouvez utiliser la show services application-identification application-system-cache commande pour vérifier l’état de l’ASC.
L’exemple de sortie suivant fournit l’état de l’ASC :
user@host>show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
Dans les versions antérieures à Junos OS version 18.2R1, la mise en cache des applications était activée par défaut. Vous pouvez le désactiver manuellement à l’aide de la set services application-identification no-application-system-cache commande.
user@host# set services application-identification no-application-system-cache
Voir aussi
Prise en charge des applications de tunnelisation
À partir de la version 20.4R1 de Junos OS, nous avons amélioré la recherche unifiée des stratégies sur les périphériques de sécurité pour gérer les applications de tunnelisation. Vous pouvez désormais bloquer une application de tunnelisation spécifique à l’aide de la stratégie unifiée.
Lorsque vous souhaitez bloquer certaines applications de tunnelisation telles que QUIC ou SOCK, vous pouvez configurer ces applications de tunnelisation pour qu’elles adoptent une stratégie unifiée avec une action de refus ou de rejet.
Identification des applications Prise en charge des micro-applications
À partir de la version 19.2R1 de Junos OS, vous pouvez gérer les applications au niveau des sous-fonctions grâce à la fonctionnalité d’identification des applications. Dans le présent document, nous appelons les sous-fonctions d’application des micro-applications.
Les micro-applications font partie du package de signature d’application. Vous devez activer la détection des micro-applications dans l’identification des applications, puis les utiliser comme critères de correspondance dans la stratégie de sécurité.
AppID détecte les applications au niveau des sous-fonctions sur votre réseau et la stratégie de sécurité exploite les informations d’identité des applications déterminées à partir du module d’identification des applications (AppID). Une fois qu’une application particulière est identifiée, une action telle qu’autoriser, refuser, rejeter ou rediriger est appliquée au trafic en fonction de la stratégie configurée sur l’appareil.
Le concept de micro-applications est similaire à celui des applications basées sur les transactions, où l’application imbriquée sur une application de base change continuellement au cours de la même session.
Exemple:
Prenons l’exemple d’une application dynamique MODBUS. READ et WRITE sont des sous-fonctions ou des opérations de l’application MODBUS. Pour ces sous-fonctions, il faut définir des micro-applications telles que MODBUS-READ et MODBUS-WRITE. Le chemin de classification des applications peut changer sans cesse entre MODBUS :MODBUS-READ et MODBUS :MODBUS-WRITE. Dans ce cas, MODBUS est l’application de base et MODBUS-READ et MODBUS-WRITE sont des applications imbriquées, c’est-à-dire des micro-applications.
Vous pouvez configurer les micro-applications selon la même hiérarchie que l’application dynamique prédéfinie dans une stratégie de sécurité et prendre les mesures nécessaires en fonction des règles de stratégie.
En configurant ces micro-applications dans des stratégies de sécurité, vous pouvez autoriser ou refuser les sous-fonctions MODBUS plutôt que de bloquer ou d’autoriser l’application MODBUS entière.
- Classification des micro-applications
- Liste des applications dépendantes et protocoles et ports par défaut
- Application de stratégies pour les micro-applications
- Installation de micro-applications
- Gestion du trafic applicatif DNS-sur-HTTP et DNS-sur-TLS
Classification des micro-applications
La classification des applications pour les micro-applications n’atteint pas la correspondance finale car les micro-applications ne cessent de changer au cours de la session. Une demande appariée n’est considérée comme la correspondance finale qu’une fois que le nombre maximal de transactions est terminé.
La limite maximale de transactions d’AppID est de 25, mais chaque module de service a sa propre limite en fonction de ses propres exigences. Si la limite spécifique au service est atteinte avant la limite de transaction maximale (25), le module de service marque sa politique comme définitive. Toutefois, AppID continue la classification des applications et décharge la session lorsque la limite de 25 est atteinte.
Vous pouvez utiliser la set services application-identification max-transactions commande pour configurer la limite de transactions.
Liste des applications dépendantes et protocoles et ports par défaut
La liste des applications dépendantes inclut les applications sur lesquelles une application dynamique peut être identifiée. Le protocole et le port par défaut d’une application dynamique incluent le protocole et le port définis pour cette application.
La liste des applications dépendantes et les protocoles et ports par défaut sont utilisés par la stratégie unifiée pour appliquer la stratégie de sécurité. La liste des applications dépendantes et les protocoles et ports par défaut de la micro-application sont identiques à ceux de l’application de base.
Exemple : La liste des applications dépendantes et les ports par défaut de la micro-application MODBUS-READ sont identiques à la liste des applications dépendantes et aux ports par défaut de MODBUS.
Application de stratégies pour les micro-applications
Les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par l’appareil et les actions qui doivent être effectuées sur le trafic lorsqu’il traverse l’appareil. Si vous avez configuré une stratégie de sécurité avec des micro-applications comme critères de correspondance, le module de stratégie requiert des informations d’identification de micro-application de la part d’AppID.
La classification des applications avec les micro-applications n’atteint pas la correspondance finale, car les micro-applications ne cessent de changer au cours de la session. Toutefois, la correspondance finale de l’application est requise pour la recherche de stratégie et le traitement de la stratégie. Vous pouvez utiliser la commande [edit security policies unified-policy-max-lookups] pour limiter le nombre de recherches de stratégie.
Une fois l’application identifiée, la stratégie finale est appliquée à la session. Les actions de stratégie telles que l’autorisation, le refus, le rejet ou la redirection sont appliquées au trafic comme spécifié dans les règles de stratégie.
Installation de micro-applications
Les micro-applications font partie du package de signature d’application. Lorsque vous téléchargez le package de signature d’application et que vous l’installez, des micro-applications sont également installées et peuvent être configurées dans les stratégies de sécurité. Vous pouvez afficher les détails des micro-applications à l’aide de la show services application-identification status commande.
Si vous avez configuré des micro-applications dans une stratégie de sécurité à partir de Junos OS version 19.2, il n’est pas possible de revenir à la version précédente de Junos OS. Pour revenir à la version précédente des versions de Junos OS, vous devez supprimer les micro-applications configurées dans vos stratégies de sécurité.
Gestion du trafic applicatif DNS-sur-HTTP et DNS-sur-TLS
Dans la version 20.4R1 de Junos OS, nous introduisons une nouvelle micro-application, DNS-ENCRYPTED, pour améliorer le package de signatures d’application. En configurant cette micro-application dans une stratégie de sécurité, vous disposez d’un contrôle granulaire sur le trafic applicatif DNS-sur-HTTP et DNS-sur-TLS.
L’application DNS-ENCRYPTED est activée par défaut. Vous pouvez le désactiver à l’aide de la request services application-identification application disable DNS-ENCRYPTED commande.
Vous pouvez afficher les détails des micro-applications à l’aide de la show services application-identification application commande.
Activation et désactivation de la détection des micro-applications
Vous pouvez activer ou désactiver la détection des micro-applications. Par défaut, la détection des micro-applications est désactivée. Vous devez activer les micro-applications pour les utiliser dans votre stratégie de sécurité.
Vous pouvez activer ou désactiver les micro-applications à l’aide des commandes suivantes :
Activer la détection des micro-applications (à partir du mode configuration).
user@host# set services application-identification micro-apps
Désactiver une micro-application spécifique (à partir du mode opérationnel).
user@host> request services application-identification application disable application-name
Exemple:
user@host>request services application-identification application disable junos:MODBUS
Exemple : Configuration de micro-applications
Cet exemple montre comment configurer des micro-applications dans une stratégie de sécurité pour appliquer la stratégie au niveau des sous-fonctions.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series avec Junos OS version 19.2R1 ou ultérieure. Cet exemple de configuration est testé sur Junos OS version 19.2R1.
Licence valide de fonctionnalité d’identification d’application installée sur un pare-feu SRX Series.
Avant de commencer, installez l’intégralité de la base de données de signatures à partir d’un IDP ou d’un package de sécurité d’identification d’application. Reportez-vous à la section Téléchargement et installation manuelle du package de signatures d’application Junos OS ou Téléchargement et installation du package de signatures d’application Junos OS dans le cadre du package de sécurité IDP.
Aperçu
Dans cet exemple, vous créez une stratégie de sécurité avec les micro-applications MODBUS-READ-COILS et MODBUS-WRITE-SINGLE-COIL, MODBUS-READ-COILS, MODBUS-WRITE-MULTIPLE-COILS. Le trafic applicatif correspondant à ces micro-applications est autorisé.
Configuration
- Configuration d’une stratégie de sécurité avec des micro-applications
- Configuration de la qualité de service des applications avec des micro-applications
Configuration d’une stratégie de sécurité avec des micro-applications
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set services application-identification micro-apps set security policies from-zone untrust to-zone trust policy P1 match source-address any set security policies from-zone untrust to-zone trust policy P1 match destination-address any set security policies from-zone untrust to-zone trust policy P1 match application any set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS set security policies from-zone untrust to-zone trust policy P1 then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer un groupe d’applications personnalisé pour l’identification des applications :
Activer la détection des micro-applications.
[edit] user@host# set services application-identification micro-apps
Définissez une stratégie de sécurité avec d’autres critères de correspondance de stratégie.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy P1 match application any
Définissez l’application et la micro-application comme des critères de correspondance.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-READ-COILS user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-SINGLE-COIL user@host# set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:MODBUS-WRITE-MULTIPLE-COILS
Définissez l’action de stratégie.
[edit] user@host# set security policies from-zone untrust to-zone trust policy P1 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies from-zone untrust to-zone trust
from-zone untrust to-zone trust {
policy P1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL junos:MODBUS-WRITE-MULTIPLE-COILS ];
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration de la qualité de service des applications avec des micro-applications
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer un groupe d’applications personnalisé pour l’identification des applications :
Définissez les paramètres de configuration d’AppQoS avec la micro-application junos :MODBUS-READ-COILS.
[edit] user@host# set class-of-service application-traffic-control rate-limiters RL1 bandwidth-limit 1000 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:MODBUS-READ-COILS user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then dscp-code-point 111110 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then loss-priority high user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server RL1 user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then log
Créez une stratégie de sécurité.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set security policies from-zone untrust to-zone trust policy 1 match application any
Définissez l’action de stratégie.
[edit security] user@host# set security policies from-zone untrust to-zone trust policy 1 then permit application-services application-traffic-control rule-set RS1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la how class-of-service commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show class-of-service
application-traffic-control {
rate-limiters RL1 {
bandwidth-limit 1000;
}
rule-sets RS1 {
rule 1 {
match {
application junos:MODBUS-READ-COILS;
}
then {
dscp-code-point 111110;
loss-priority high;
rate-limit {
client-to-server RL1;
}
log;
}
}
}
}
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies from-zone untrust to-zone trust
from-zone untrust to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:MODBUS-READ-COILS];
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
- Vérification de l’état des micro-applications
- Vérification des statistiques sur les micro-applications
Vérification de l’état des micro-applications
But
Vérifiez que les micro-applications sont activées.
Action
Utilisez la commande pour obtenir la show services application-identification status version des micro-applications et utilisez show services application-identification application micro-applications la commande pour obtenir les détails des micro-applications.
Application Identification Status Enabled Sessions under app detection 0 Max TCP session packet memory 0 Force packet plugin Disabled Force stream plugin Disabled Statistics collection interval 1440 (in minutes) Application System Cache Status Enabled Cache lookup security-services Disabled Cache lookup miscellaneous-services Disabled Max Number of entries in cache 0 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Proxy Details Proxy Profile Not Configured Slot 1: Application package version 3172 Status Active PB Version 1.380.0-64.005 (build date May 13 2019) Engine version 5.3.0-56 (build date May 13 2019) Micro-App Version 1.0.0-0 Sessions 0
Sortie de l’échantillon
afficher les services identification des applications micro-applications d’applications
user@host> show services application-identification application micro-applications Micro Applications junos:BACNET-GET-EVENT-INFORMATION junos:BACNET-SUBSCRIBE-COV-PROPERTY junos:BACNET-LIFE-SAFETY-OPERATION junos:BACNET-READ-RANGE junos:BACNET-REQUEST-KEY junos:BACNET-AUTHENTICATE junos:BACNET-VT-DATA junos:BACNET-VT-CLOSE junos:BACNET-VT-OPEN junos:BACNET-REINITIALIZE-DEVICE junos:BACNET-CONFIRMED-TEXT-MESSAGE junos:BACNET-CONFIRMED-PRIVATE-XFER junos:BACNET-DEVICE-COMM-CONTROL junos:BACNET-WRITE-PROP-MULTIPLE junos:BACNET-WRITE-PROPERTY junos:BACNET-READ-PROP-MULTIPLE junos:BACNET-READ-PROP-CONDITIONAL junos:BACNET-READ-PROPERTY junos:BACNET-DELETE-OBJECT junos:BACNET-CREATE-OBJECT junos:BACNET-REMOVE-LIST-ELEMENT junos:BACNET-ADD-LIST-ELEMENT junos:BACNET-ATOMIC-WRITE-FILE junos:BACNET-ATOMIC-READ-FILE junos:BACNET-SUBSCRIBE-COV junos:SIEMENS-S7-SETUP-COMM junos:SIEMENS-S7-UPLOAD-START ......
Pour plus d’informations, reportez-vous à la section Afficher les services, l’identification des applications, les micro-applications .
Vérification des statistiques sur les micro-applications
But
Vérifiez que les micro-applications sont appliquées.
Action
Utilisez les commandes suivantes pour obtenir les détails des micro-applications.
Sortie de l’échantillon
nom_commande
user@host> show services application-identification statistics applications
Last Reset: 2018-12-16 01:45:47 PST
Application Sessions Bytes Encrypted
MODBUS-READ-COILS 1 1026 No
MODBUS-WRITE-SINGLE-COIL 1 1254 No
user@host> show services application-identification statistics applications details (Junos OS Release 20.3)
Logical System: root-logical-system
Last Reset: 2020-05-08 08:55:31 PDT
Application Enc DPI final-match Pre-match Limits
final-match
NTP No 1 0 0
SYSLOG No 5 0 0
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
set services application-identification no-application-system-cache commande.